Youngter-drive 题解

已于 2023-02-14 19:50:42 修改
阅读量6.3k 收藏 5
点赞数 3
分类专栏: reverse 文章标签: buuctf 逆向 ctf 网络安全 reverse
于 2023-02-02 17:48:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73644864/article/details/128848145
版权
文章描述了一个逆向工程的过程,包括32位加壳程序的脱壳,通过静态分析跟进main函数,了解createMutexW和CreateThread等线程控制函数,以及如何处理堆栈不平衡问题。最后,解析加密函数并编写解密代码来获取flag。
摘要由CSDN通过智能技术生成

远方有海,有山有林,远方总是飘扬着你的梦。                ——许达然

1.查壳

 32bit,加了UPX壳

2.虚拟机脱壳

Youngter-drive脱壳

3.静态分析寻找思路

跟进main_0函数

 

线程控制的知识不懂,去搜一下函数

createMutexW 函数

创建或打开命名或未命名的互斥对象。

HANDLE CreateMutexW(

        [in, optional] LPSECURITY_ATTRIBUTES lpMutexAttributes,

        [in] BOOL bInitialOwner,

        [in, optional] LPCWSTR lpName

);

特性:
a.独占性-在某个时间点上,只有一个线程拥有互斥,别的线程等待,除非这个线程扔掉后,别的线程才会拥有互斥
b.所有线程都没有互斥时,线程句柄有信号,如果有一个线程拥有互斥,线程句柄无信号

CreateThread函数

创建一个在调用进程的虚拟地址空间内执行的线程。

HANDLE CreateThread(
        LPSECURITY_ATTRIBUTES   lpThreadAttributes,
        SIZE_T                  dwStackSize,
        LPTHREAD_START_ROUTINE  lpStartAddress,
        __drv_aliasesMem LPVOID lpParameter,
        DWORD                   dwCreationFlags,
        LPDWORD                 lpThreadId
);

WaitForSingleObject 函数

WaitForSingleObject是一种Windows API函数。当等待仍在挂起状态时,句柄被关闭,那么函数行为是未定义的。该句柄必须具有 SYNCHRONIZE 访问权限。

CloseHandle 函数

关闭一个内核对象。其中包括文件、文件映射、进程、线程、安全和同步对象等。在CreateThread成功之后会返回一个hThread的handle,且内核对象的计数加1,CloseHandle之后,引用计数减1,当变为0时,系统删除内核对象。

查看main函数调用的函数,跟进sub_411190()函数

 继续跟进

终于找了与flag直接有关的函数,重命名一下函数便于找

 可以知道flag存在Dest之中,跟进

 Source

 找到off_418004跟进

 继续跟进aToiziztoryatou

没有头绪

Source要想和aToiziztoryatou相等,一定是在别的地方有过操作,交叉引用看一下

有一处调用为此函数

 我们知道Source就是输入的字符串

然后复制给了Dest

那么Source输入之后修改过没有,查看一下别的修改Source的函数

 

 跟进这个函数

 发现存在堆栈不平衡的问题

4.处理堆栈不平衡问题

转到汇编代码,在option中开启stack pointer

 

 SP值变成了负数,修改成0才能使得堆栈保持平衡

在堆栈不平衡处按下Alt+K(SP值为负数的上一个call函数位置),修改SP值

SP是为了实现堆栈的先入后出的数据处理而设置的一个指针。它指向当前堆栈段的位置。

上述具体过程见视频

堆栈不平衡

5.根据加密函数编写wp

char *__cdecl sub_411940(int a1, int a2)
{
  char *result; // eax
  char v3; // [esp+D3h] [ebp-5h]

  v3 = *(_BYTE *)(a2 + a1);
  if ( (v3 < 97 || v3 > 122) && (v3 < 65 || v3 > 90) )
    exit(0);
  if ( v3 < 97 || v3 > 122 )
  {
    result = off_418000[0];
    *(_BYTE *)(a2 + a1) = off_418000[0][*(char *)(a2 + a1) - 38];
  }
  else
  {
    result = off_418000[0];
    *(_BYTE *)(a2 + a1) = off_418000[0][*(char *)(a2 + a1) - 96];
  }
  return result;
}

a1是传入的Source,a2是dword_418008

s = 'QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasdfghjklzxcvbnm' #off_418000
d = 'TOiZiZtOrYaToUwPnToBsOaOapsyS' #off_418004
flag="flag{"
for i in range(len(d)):
    if i%2 == 0:
        flag+=d[i]
    else:
        if(d[i].isupper()):
            flag+=chr(s.find(d[i])+96)
        else:
            flag+=chr(s.find(d[i])+38)
flag+="}"
print(flag)

flag{ThisisthreadofwindowshahaIsES}

烨鹰
关注
专栏目录
BUUCTF Reverse/Youngter-drive
ookami6497的博客
07-22 289
BUUCTF Reverse/Youngter-drive 查壳发现UPX壳,且为·32位程序 用脱壳工具脱壳 用IDA32位打开 跟进查看,又是一道字符串比较的题目 发现这个函数对输入的字符串进行了比较 int sub_411880() { int i; // [esp+D0h] [ebp-8h] for ( i = 0; i < 29; ++i ) { if ( *(&Source + i) != off_418004[i] )
js-leetcode题解之种花问题-题解.zip
05-09
这个名为“js-leetcode题解之种花问题-题解.zip”的压缩包文件,显然是针对LeetCode中的一道具体题目——“种花问题”提供了JavaScript的解决方案。下面,我们将详细探讨这道题目及其解题策略。 “种花问题”通常是...
Youngter-drive
weixin_52034946的博客
01-25 755
有壳,upx的,先脱壳,教程自己上网搜 从main函数开始 创造俩个进程,StartAddress和sub_41119F StartAddress 里面含有一个加密处理和一个减一 看加密函数,在进 sub_411940 时会有一个报错,我这边用的IDA7.5,提示错误了,但是还是可以看到伪代码 加密函数就是大写字母-38,小写字母-96, 是off_418000 减d的. off_418000:QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasd 下一个线程里面只有减一 最后一
buu:Youngter-drive
weixin_60553183的博客
12-30 1467
查壳发现有壳,UPX脱壳放IDA进入MAIN函数 学到新的知识点,多线程。CreateThread是创造一个线程,CloseHandle是关闭该线程。 先点进第一个线程的第一个函数 发现打不开,放百度。 这里又是一个新的知识点:堆栈不平衡。这里需要修改栈顶。 这里勾选Stack pointer再去汇编指令那里,就会发现有标红,在对应的地址那里按ALT+K进行修改后。即可打开函数 这里就很简单了小写改大写。 ...
BUUCTF Youngter-drive1
kevinhezhuzhu的博客
10-26 282
dword_418008为1Dh,每循环一次,dword_418008都减1,当dword_418008>-1时,把Source和dword_418008当作sub_41112C函数的参数,sub_41112C进去之后是sub_411940,但是我这里点不进去,尝试查看一下汇编,发现爆红处,尝试NOP掉。就是刚才的那个sub_411BD0,在这里面输入Source,之后把Source赋给Dest,然后创建一个新线程,里面是StartAddress,跟踪进去。查看文件,发现UPX壳,先脱壳。
BUUCTF RE Youngter-drive by YuSec
YuSec
08-12 331
Youngter-drive Start 打开发现加了个UPX壳 想手脱,发现 好吧,直接脱壳机脱吧,脱完重新载入IDA 搜索字符串,将flag放在Source中,后面就没了 看看谁用了Source 发现四处引用的地方,除了当前的,还有三处 看到sub_411880 对Source和off_418004常量字符串进行比较,这里应该就是最终加密后进行比较的 看到StartAddress_0 发现调用了sub_41112C进行处理Source 这里有个细节需要注意,dword_418008是临界资源
python-leetcode面试题解之第31题下一个排列-python题解.zip
03-12
"python-leetcode面试题解之第31题下一个排列-python题解.zip" 这个标题表明这是一个关于Python编程语言的资源包,专门针对LeetCode平台上的第31题“下一个排列”的解决方案。LeetCode是一个知名的在线编程挑战平台...
js-leetcode题解之前K个高频元素-题解.zip
05-09
【标题】"js-leetcode题解之前K个高频元素-题解.zip" 是一个与JavaScript编程相关的资源包,专门针对LeetCode平台上的一个问题——找出数组中的前K个高频元素。LeetCode是一个广受欢迎的在线编程挑战平台,它帮助...
python-leetcode题解之046全排列
最新发布
08-20
python python_leetcode题解之046全排列
ccf-201312-1题解
04-17
ccf-201312-1题解
buuctf Youngter-drive
weixin_45701079的博客
10-31 2534
buuctf Youngter-drive 拿到题目,查壳(upx),首先脱壳,(不会脱壳自行百度,很多教程),脱壳之后是不能运行的,好像是因为文件重定向,但是不影响ida静态分析,ida打开 分析,多线程,最近刚好在学多线程,第一个线程h0bject会执行StartAddress函数,第二个线程v2执行sub_41119f函数,然后挨个分析打开StartAddress函数 会出现这种情况,原因是堆栈不平衡利用ida调堆栈就好, 在红色部分用alt+k,打开![在这里插入图片描述] 把原来的0x-4改成
BUUCTF_Youngter-drive
weixin_46009088的博客
10-30 1337
BUUCTF_Youngter-drive 学到一些多线程和IDA平衡堆栈的知识!同样也是尽量写的详细! 解压后拖进IDA,发现UPX的壳,如图: 用upx -d 把它给脱壳了,如图: 接下来就可以用IDA载入了,如图: 找到main_0函数就可以用F5大法了 一个函数一个函数来看,先看到sub_4110FF,点进去看看: 没啥东西,往下看,CreateThread创建了两个线程,MSDN文档1如下: 点进StartAddress查看线程,如图: 发现一个函数,点进去看,如图: 但是弹出了下面的错误.
BUUCTF Youngter-drive
zgwz123456的博客
06-21 363
首先查壳发现是upx壳,直接上工具脱壳 upx -d E:\桌面\7289daa8-a5d5-430e-87a0-92ce805d8f15\Youngter-drive.exe 打开是这样的程序 拉入IDA进行分析 找到主函数,发现创建了两个线程,一个StartAddress,一个sub_41119F,进去看看 这里是对我们的flag进行操作,主要函数是sub_41112C 会出现这种情况,原因是堆栈不平衡利用ida调堆栈就好 找到411A04处,在pop ebp上按alt+k 将0x4改为.
buu Reverse学习记录(25) Youngter-drive
EMsheep的博客
03-14 338
题目链接:https://buuoj.cn/challenges#Youngter-drive
buu Youngter-drive
YenKoc的博客
04-03 495
一.查壳,发现是upx的壳,用自解压方式,脱下壳 二.之后发现打不开了,应该是要修复,不想修复了,直接拖入ida 找到关键函数,中间发生一点小插曲,发现堆栈不平衡,然后导致F5反编译失败,百度了下是ALT+k快捷键来修改栈顶指针,维持栈顶平衡,修改之后发现可以反编译了 发现是创建进程,再进入 这块发现是加密,而且外面还创建了一个进程,说明是一次不加,一次加,这种循环来加密的。 然后看看,输出...
buu-Reserve:Youngter-drive
Asteri5m
03-23 308
buu-Reserve :Youngter-drive 平时也经常在buu练题,练到后面收获越发的多。便想着记录下来。 0x00 初步分析 尝试运行的时候发现不可以,好吧,直接查壳: 0x01 查壳脱壳 简单的upx壳,但是由于也不能运行,直接自动脱壳吧: 脱完壳还是不能运行,估计是需要修复,懒人直接上IDA,shift+F12可以看到关键字符: 0x02 代码分析 直接转过去试试能不能反编译,直接进入查看伪代码。那就直接分析它的算法吧: 可以看到我们的输入保存在Source字符串里面;返回上一
buu-Youngter-drive
qq_53087690的博客
05-02 202
差壳 脱壳 IDA打开,找到main函数 值得注意的是这个CreateMutexW函数 进程在执行过程中可能创建多个新的进程。创建进程称为父进程,而新的进程称为子进程。每个新进程可以再创建其他进程,从而形成进程树。 详细可以看进程的创建和终止 这里创建了两个进程 第一个线程h0bject会执行StartAddress函数,第二个线程v2执行sub_41119f函数 然后挨个分析打开StartAddress函数 加密函数:这是将字符串进行了替换,当字符是大写字母时,替换为off_418000处-38,
BUUCTF-Youngter-drive
weixin_50783572的博客
10-25 228
BUUCTF reverse Youngter-drive 用Exeinfo打开发现加了upx壳 用upxshell脱壳后用IDA32打开 找到主函数 sub_4110FF函数控制输入了Source的值 打开StartAddress函数 发现sub_41112C函数,进入查看 是将输入的字符中的大小写字母从下面这个字符串中进行替换 这里我犯了错误,没有继续看main后面的函数,以为每一个都要替换 回去看main函数,发现在sub_41119F函数中也对dword_418008的值进行了减一操作,
C语言实现二叉树中序遍历-LeetCode题解
资源摘要信息:"c语言-leetcode题解之0094-binary-tree-inorder-traversal.zip" 在深入探讨这个资源之前,我们需要理解几个关键的概念:C语言、leetcode以及二叉树的中序遍历。 C语言是一种广泛使用的高级编程语言...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

烨鹰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值